Segurança da Informação em Órgãos Públicos
Marcelo Caiado, M.Sc., CISSP, GCFA, EnCE, GCIHChefe da Divisão de Segurança da Informação
Procuradoria Geral da Repú[email protected]
Enfrentando questões organizacionais e culturais
• Entenda a visibilidade da área de Tecnologia da Informação
• Compreenda a espinha dorsal, conhecendo o histórico da empresa e seus procedimentos
• Aborde os aspectos corporativos, além dos tecnológicos
Enfrentando questões organizacionais e culturais
• Procure “vender” a área de segurança => estatísticas e cases
http://www.checkpoint.com/resources/2015securityreport/http://www.computerworld.com.pt/2015/06/08/sete-areas-criticas-de-seguranca/
http://www.nytimes.com/2015/06/05/opinion/edward-snowden-the-world-says-no-to-surveillance.html?_r=0
Prepare sua segurança
• Possua um time ou equipe de Resposta a Incidentes (treinado e equipado)
• Observe a “Teoria do pato”• Proporcione canais fáceis de notificação de
incidentes● RFC 2142 => Mailbox Names
Prepare sua segurança
• Conscientize e eduque seus usuários
http://gizmodo.uol.com.br/pesquisas-fajutas-midia/
Respondendo a um incidente
• Preocupe-se com a cadeia de custódia● Cuidado especial com a síndrome do faz-tudo
(a.k.a. Teoria do Pato)• Realize o devido engajamento Jurídico• Notifique a alta administração em casos
mais graves● Lista de contatos
• Possua um manual de procedimentos com responsabilidades bem definidas
Recursos Humanos
• Teoria dos dois Fatores (Herzberg) A satisfação no cargo é função do conteúdo ou
atividades desafiadoras e estimulantes do cargo, são os chamados "fatores motivacionais";
A insatisfação no cargo é função do ambiente, da supervisão, dos colegas e do contexto geral do cargo, enriquecimento do cargo (ampliar as responsabilidades) são os chamados "fatores higiênicos".
Recursos Humanos
• Líderes eficazes são capazes de engajar o seu time de diversas formas:I. Articulam uma visão de forma a enfatizar os valores
de seu público alvo;II. Criam um ambiente de união segurança;III.Envolvem as pessoas no processo de decisão sobre
como a visão compartilhada vai ser alcançada;IV.Apoiam os esforços dos funcionários em
compreender a visão, disponibilizando coaching, dando feedback e sendo um modelo exemplar;
V.Reconhecem e premiam o sucesso.
Recursos Humanos
• Grandes líderes possuem um elevado grau de Inteligência Emocional: Autoconsciência: a habilidade para reconhecer e compreender
seu estado de espírito, suas emoções e seus ímpetos, assim como seus efeitos sobre outras pessoas.
Autocontrole: a habilidade para controlar ou redirecionar impulsos e ânimos disruptivos, evitar julgamentos e pensar antes de agir.
Motivação: a habilidade para perseguir metas com energia e perseverança, por motivos que vão além do dinheiro ou do status.
Empatia: a habilidade para compreender a estrutura emocional das pessoas.
Habilidade social: a habilidade para gerenciar relações, criar redes de relacionamentos e encontrar um denominador comum.
Recursos Humanos
• Invista em servidores que demostram comprometimento(ISC)2 – www.isc2.org SANS Institute – www.sans.org Certificações de fabricantesNorma Complementar nº
17/IN01/DSIC/GSIPR Estabelece Diretrizes nos contextos de atuação e
adequações para Profissionais da Área de Segurança da Informação e Comunicações (SIC) nos Órgãos e Entidades da Administração Pública Federal (APF).
Mandamentos do Gestor de SEGINFO
1.Participarás junto com sua equipe em atividades de prospecção de tecnologias;
2.Implementarás demandas de segurança com requisitos de conformidade, privacidade e coorporativos;
3.Monitorarás todos seus ativos de segurança, como NGFW, IDS/IPS, SIEM, DLP, antivírus, etc;
4.Estarás atento aos desafios diários como sites maliciosos, vulnerabilidades, zero days, espionagem, crime organizado, funcionários insatisfeitos, script kiddies, hacktivistas, etc;
Mandamentos do Gestor de SEGINFO
5.Trabalharás ativamente para que a cultura seja da resposta a incidentes, e não da resposta após incidentes;
6.Engajarás a alta administração;7.Indicarás as tecnologias de segurança
adequadas e aplicarás os devidos processos;8.Não descuidarás da capacitação de sua
equipe;9.Protegerás seus ambientes físico, móvel e virtual;10.Atuarás sempre de forma ética.
Cânones do Código de Ética do (ISC)2
I. Proteger a sociedade, o bem comum, necessária confiança mútua e confiança do público, e a infra-estrutura.
II. Agir honradamente, honestamente, de forma justa, com responsabilidade e dentro da lei.
III.Fornecer serviço diligente e competente para a alta administração.
IV.Avançar e proteger a profissão.
Concluindo (2)
29
Preparação
Identificação
Contenção
Erradicação
Restauração
Lições Aprendidas
Fonte: SANS Institute
DFIRhttp://dfir.com.br
HTCIA Brasilia http://www.facebook.com/HTCIABrasilia
CERT.br http://www.cert.br/docs/whitepapers/notificacoes
DSIC http://dsic.planalto.gov.br/documentos/publicacoes
SANS Institute Blogs http://www.sans.org/security-resources/blogs
Links úteis